Europäischer Datenschutztag 2022

IT-Sicherheit muss sich stärker am Datenschutz ausrichten

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Der "Europäische Datenschutztag“ wird seit 2007 jeweils am 28. Januar begangen. Man kann ihn als Symbolpolitik abtun. Das dürfte sich aber bald als Fehler erweisen und kann sehr teuer werden.
 
  • Ärger um Cookies und Standardvertragsklauseln
  • Datenschutzverstöße - langsam wird´s teuer
  • Empfehlungen aus der IT-Branche zum Datenschutztag
  • Mit einem Datenschutzgelöbnis Verantwortung übernehmen
"Der Datenschutztag eignet sich perfekt, um eine Bestandsaufnahme vorzunehmen", sagt Eric Waltert, Regional Vice President DACH bei Veritas Technologies.
"Der Datenschutztag eignet sich perfekt, um eine Bestandsaufnahme vorzunehmen", sagt Eric Waltert, Regional Vice President DACH bei Veritas Technologies.
Foto: Veritas Technologis

Mit dem "Europäischen Datenschutztag" am 28. Januar möchte der Europarat bei Bürgerinnen und Bürgern das Bewusstsein für Datenschutz wecken und stärken. Eingeführt wurde der Aktionstag 2007. Notwendig ist er nach wie vor - wenn nicht notwendiger denn je. Gründe dfür gibt esviele.

In Deutschland sorgte etwa das zum 1. Dezember 2021 in Kraft getretene Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG), das vollständig und korrekt "Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien" heißt, insbesondere durch die Regelungen zu Cookies für Diskussionen.

Ärger um Cookies und Standardvertragsklauseln

In Österreich hat die Wiener Datenschutzbehörde (DSB) entschieden, dass der Einsatz von Google Analytics beim Angebot Netdoktor.at gegen die "Schrems II"-Entscheidung des EuGH verstößt und damit illegal ist. Womöglich haben die Österreicher damit eine Lawine losgetreten: Neben der für Datenschutz zuständigen Behörde in Guernsey - was Googe wahrscheinlich nicht besonders betroffen machte - hat nun auch die entsprechende Behörde in Norwegen Bedenken angemeldet, ob sich Google Analytics dort regelkonform nutzen lässt. Die Norweger berufen sich dabei ausdrücklich auf die Entscheidung in Wien.

Bereits Anfang Januar 2022 hatte der EU-Datenschutzbeauftragte Wojciech Wiewiórowski das Europäische Parlament dafür kritisiert, dass es Daten der Nutzer seiner Covid-19-Test-Webseite ohne ausreichende Rechtsgrundlage an Google Analytics und den Zahlungsanbieter Stripe übermittelte. In Deutschland untersagte schon im Dezember 2021 das Verwaltungsgericht Wiesbaden auf Basis des EuGH-Grundsatzbeschlusses der Hochschule RheinMain, auf ihrer Homepage den Dienst "Cookiebot" einzubinden,weil bei dessen Nutzung personenbezogene Daten in die USA übertragen werden (Aktenzeichen 6 L 738/21.WI).

Innerhalb weniger Wochen sind das ziemlich viele, möglicherweise richtungsweisende Entscheidungen und Neuregelungen in Bereichen, die viel genutzte Tools und Dienste betreffen. Weiteres, oft noch unterschätztes Potenzial für Ärger mit dem Datenschutz bieten die von der Europäischen Kommission zum September 2021 geänderten Standardvertragsklauseln (SCC). Sie regeln die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in ein Drittland - also auch die USA und seit einem Jahr Großbritannien.

Neu ist unter anderem, dass im Einzelfall geprüft werden muss, ob damit vereinbarte Regelungen im Land des Datenimporteurs aufgrund der dortigen Gesetzgebung überhaupt umsetzbar sind. "Genau diese Prüfung ergibt in vielen Fällen, dass aufgrund der rechtlichen Rahmenbedingungen in den USA eine 100% rechtssichere Übermittlung personenbezogener Daten dorthin nicht möglich ist. Zumindest nicht, ohne die SCC durch Zusatzregelungen um weitere Garantien zum Schutz der personenbezogenen Daten zu ergänzen", fasst die Änderungen das als Datenschutzbeauftragter und Datenschutzberater tätige Hamburger Unternehmen Mauß Datenschutz zusammen.

Datenschutzverstöße - langsam wird´s teuer

Dass Datenschutzverstöße längst keine Kavaliersdelikte mehr sind, sollte spätestens im vergangenen Jahr klar geworden sein. Die Luxemburger Datenschutzbehörde verhängte im Juli ein Bußgeld in Höhe von 746 Millionen Euro gegen Amazon, weil der Konzern massenhaft Daten sammelte, um Nutzern personalisierte Werbung anzuzeigen. Etwas später präsentierte die Irische Datenschutzkommission WhatsApp einen Bescheid über eine Strafzahlung in Höhe von 225 Millionen Euro, weil es der Dienst bei der Weitergabe von Personendaten an andere Facebook-Unternehmen an Transparenz hat fehlen lassen.

„Eine der größten Herausforderungen in Sachen Datenschutz ist mangelnder Überblick“, stellt Helmut Semmelmayer, Senior Manager Channel Sales bei Tenfold Software, einem Anbieter von Access-Management-Lösungen, fest.
„Eine der größten Herausforderungen in Sachen Datenschutz ist mangelnder Überblick“, stellt Helmut Semmelmayer, Senior Manager Channel Sales bei Tenfold Software, einem Anbieter von Access-Management-Lösungen, fest.
Foto: Tenfold Software

Das sind aber nur die spektakulärsten Fälle. Dem VPN-Anbieter Atlas VPN zufolge wurden in der EU 2021 insgesamt 412 Bescheide wegen Datenschutzverstößen erlassen. Die teuersten, bekannt gewordenen Verstöße in Deutschland leisteten sich seit Inkraftreten der DSGVO der Modehändler H&M (mit einem Bußgeld von über 32 Millionen Euro), Notebooksbilliger.de (über 10 Millionen Euro), die AOK (1,2 Millionen Euro), Vattenfall und 1&1 mit je 900.000 Euro, der VfB Stuttgart mit 300.000 Euro und Delivery Hero mit rund 195.000 Euro.

Grund waren entweder eine fehlende legale Grundlage für die Datenverarbeitung, ungenügende technische und organisatorische Maßnahmen, um die Informationssicherheit zu gewährleisten oder die Nichteinhaltung allgemeiner Datenschutzregeln (Artikel 5 der DSGVO). Für 2022 sind schon wieder spannende Diskussionen in Sicht, zum Beispiel wie es mit der vor einem Jahr hochgelobten und inzwischen vielgeschmähten Luca-App weitergeht und inwieweit es da Datenschutzverstöße gegeben hat.

Empfehlungen aus der IT-Branche zum Datenschutztag

"Eine der größten Herausforderungen in Sachen Datenschutz ist mangelnder Überblick", stellt Helmut Semmelmayer, Senior Manager Channel Sales bei Tenfold Software, einem Anbieter von Access-Management-Lösungen, fest. "Unternehmen und Behörden, die sensible Daten verarbeiten, wissen oft nicht einmal, welche Informationen wo gespeichert sind und wer darauf zugreifen kann. Die steigende Verbreitung von Cloud-Diensten wie Microsoft 365 erschwert die Lage zusätzlich. Innerhalb dieser Plattformen sind geschützte Daten meist auf viele unterschiedliche Dienste verstreut und werden unbeabsichtigt mit mehr Personen geteilt, als eigentlich vorgesehen war."

"Der Stellenwert des Datenschutzes tritt mit fortschreitender Digitalisierung Jahr für Jahr deutlicher zu Tage", betont Harald Schütz, Corporate Product Manager bei Conpal, einem deutschen Anbieter von Verschlüsselung und Authentisierung.
"Der Stellenwert des Datenschutzes tritt mit fortschreitender Digitalisierung Jahr für Jahr deutlicher zu Tage", betont Harald Schütz, Corporate Product Manager bei Conpal, einem deutschen Anbieter von Verschlüsselung und Authentisierung.
Foto: Conpal

Als Gegenmaßnahme plädiert Semmelmyer - wenig überraschend - dafür, das Berechtigungsmanagement zu verbessern und Zugriffsberechtigungen besser zu regeln. Auch wenn das im Interesse seines Unternehmens ist, ist es trotzdem eine richtige und wichtige Empfehlung - wie sich auch im ChannelPartner Workshop zum Thema IAM im vergangenen Jahr deutlich gezeigt hat.

"Der Stellenwert des Datenschutzes tritt mit fortschreitender Digitalisierung Jahr für Jahr deutlicher zu Tage. Die vergangenen zwei Jahre haben gezeigt, dass digitale Zusammenarbeit unter nahezu allen Bedingungen möglich ist, die Sicherheit der Daten dabei jedoch keine Selbstverständlichkeit ist", betont Harald Schütz, Corporate Product Manager bei Conpal, einem deutschen Anbieter im Bereich Verschlüsselung und Authentisierung. Seiner Ansicht nach kann angesichts flexibler Arbeitsmöglichkeiten die Absicherung von IT-Umgebungen allein die Datensicherheit nicht gewährleisten.

Datenschutz muss ins Zentrum der Sicherheitsbemühungen rücken

"Gesetzliche Datenschutzstandards wie die DSGVO, ISO27001 oder branchenspezifische Vorgaben wie KHZG und TISAX belegen die vielfältigen Facetten, die in den verschiedenen Ausprägungen automatisierter Datenverarbeitung relevant sind", erklärt Schütz. "Für Unternehmen wird damit deutlich, welche Bedeutung ein sicherer Umgang mit Daten für ihre Handlungsfähigkeit als digitale Organisation hat". Daraus folge, dass Unternehmen den Datenschutz zunehmend ins Zentrum ihrer Sicherheitsbemühungen stellen müssten.

Nach Ansicht von Eric Waltert, Regional Vice President DACH bei Veritas Technologies, sollten Unternehmen damit nicht länger zögern: "Der Datenschutztag eignet sich perfekt, um eine Bestandsaufnahme vorzunehmen: Welche neuen SaaS-Anwendungen laufen, welche frischen Cloud-und Edge-Datenspeicher wurden eingerichtet, welche neuen Workloads wie containerbasierte Apps wurden eingeführt? Diese Inventur hilft dabei, mögliche Lücken im Abwehrschirm zu identifizieren und auf mögliche Compliance-Risiken angemessen zu reagieren."

"Wer die Vorsätze aus dem Datnschutz-Gelöbnis beherzigt, ist auf dem Weg zu mehr Datenschutz bereits ein ganzes Stück weit vorangekommen", ist sich Michael Haas, Regional Vice President Central Europe bei Watchguard Technologies, sicher.
"Wer die Vorsätze aus dem Datnschutz-Gelöbnis beherzigt, ist auf dem Weg zu mehr Datenschutz bereits ein ganzes Stück weit vorangekommen", ist sich Michael Haas, Regional Vice President Central Europe bei Watchguard Technologies, sicher.
Foto: Watchguard Technologies

Die meisten Verantwortlichen würden diese Aufgaben kennen und ihre Datenschutzstrategien schon jetzt kontinuierlich anpassen. "Allerdings können sie nur Daten schützen, die sie auch kennen", betont Waltert. Er rät daher zur Einführung einer einheitlichen "Datenschutzplattform, die sich für den gesamten Datenbestand - sowohl im Rechenzentrum als auch in der öffentlichen Cloud - einsetzen lässt."

Auch bei Veritas korrespondiert die Empfehlung mit dem angebotenen Produktportfolio. Dennoch ist sie auch hier wieder richtig, denn die zunehmend miteinander verwobenen Speicherorte On-Premises, in der Cloud und vielleicht sogar noch auf lokalen Rechnern der Mitarbeiter, lassen sich mit mehreren einzelnen Spezial-Tools auch angesichts knapper Personalressourcen in der IT nicht mehr beherrschen - ganz abgesehen von den Datenschutzrisiken.

Mit einem Datenschutzgelöbnis selbst Verantwortung übernehmen

Einen zusätzlichen Weg schlägt Michael Haas, Regional Vice President Central Europe bei Watchguard Technologies, vor. Er fordert, dass jeder im Rahmen seiner Möglichkeiten auch selbst die Verantwortung für den Schutz der persönlichen Daten übernimmt. Dazu schlägt er ein Datenschutzgelöbnis vor. Wenn man sich an die darin aufgeführten Punkte halte, könne "jeder einzelne seinen Teil dazu beitragen, Ärger, Kosten und Aufwand von vornherein aus dem Weg zu gehen". Das Datenschutzgelöbnis könnte Haas zufolge folgendermaßen aussehen:

  • Ich gelobe, unerwarteten Nachrichten (E-Mails, SMS und Anruf) mit der nötigen Skepsis zu begegnen.

  • Ich gelobe, der Versuchung zu widerstehen, auf Links zu klicken oder Dateien herunterzuladen, wenn ich mir der Quelle nicht sicher bin.

  • Ich gelobe, einen Passwort-Manager zu nutzen.

  • Ich gelobe, wo immer möglich, Multifaktor-Authentifizierung einzusetzen.

  • Ich gelobe, vor der Einrichtung neuer Online-Konten die Datenschutzrichtlinien lesen.

  • Ich gelobe, die Antiviren- und Sicherheitssoftware auf meinen Endgeräten auf dem neuesten Stand zu halten.

  • Ich gelobe, öffentliche WLAN-Verbindungen grundsätzlich mit Argwohn zu betrachten.

  • Ich gelobe, in sozialen Medien vorsichtig zu agieren (etwa durch Nutzung derangebotenen Privatsphäre-Einstellungen, indem nur bekannte Personen zum Netzwerk zugelassen werden und keine persönlichen Informationen bei Gewinnspielen, Umfragen oder in sonstige Formulare einzugeben).

"Wer diese Vorsätze beherzigt, ist auf dem Weg zu mehr Datenschutz bereits ein ganzes Stück weit vorangekommen", ist sich Haas sicher. Und er ist damit in prominenter Gesellschaft: Auch der EU-Datenschutzbeauftragte Wojciech Wiewiórowski betont in seiner Botschaft zum Europäischen Datenschutztag 2022: "Datenschutz geht uns alle an."

Mehr zum Thema

Datenschutz nach dem Brexit

IAM/PAM-Systeme erfolgreich vertreiben und implementieren

Was Sie über Identity & Access Management wissen müssen

IAM birgt viele Geschäftschancen für den Channel

Digitale Schule: Datenschutz mangelhaft?

Zur Startseite